Dell BMC iDRAC 14th Generaion Plan
*BMC: 임베디드 컴퓨터로 서버 하드 속에 설치되어 'remote administrator(원격제어)'역할을 수행 함.
*iDRAC: PowerEdge 서버의 모든 제어가 가능한 작은 리눅스 컴퓨터. “integrated Dell Remote Access Controller unauthorized load access”
<중요성>
서버 전원 온/오프 부터, 소프트웨어로 통제되는 USB 드라이버가 메인 프로세서에 연결된 가상 USB포트로 인식되게 할 수 있음
(-> 원격 디스크 이미지를 가지고 서버를 부팅할 수 도 있고, OS가 돌고 있는 동안 가상 오토런 USB 스틱을 삽입도 가능하며, BIOS/펌웨어를 지워 서버가 부팅되지 않도록 할 수 있고, 심지어 모든 fan을 꺼 오버히팅을 발생시켜 서버에 영구적이 피해를 입힐 수 있음.)
<취약점>
서버의 직접적인 접근은 매우 쉬움
원격으로는 유효한 로그인이 필요함.
서버에 한번 접근시 그 서버의 모든 제어가 가능함.
iDRAC 8~13 버전 서버: BMC 펌웨어 이미지를 조작이 가능한 하드웨어와 원격접근 가능성 두가지를 모두 가지고 있음
펌웨어 이미지 조작은 iDRAC 유저와 OS가 감지할수 없는 지속적인 원격과 통제된 접근 허용이 가능케 함
https://github.com/Fohdeesha/idrac-7-8-reverse-engineering/blob/master/README.md
<해결방안>
안티바이러스 전무, 유일한 방법은 사용자가 iDRAC의 완벽한 루트 접근을 가지고 있어 스스로 해킹을 당하고 있는지 확인하는 수 밖에 없음.
이 또한 Dell이나 다른 제조회사차원에서 모든 사람들에게 루트 접근을 막아 놓아기 때문에 불가능함.
따라서 임베디드 컴퓨터(iDRAC)가 무엇을 하는지 확인할 수 있는 방법이 없음.
* 최신 iDRAC 14버전은 이 취약점을 해결되서어 생산되는 중. 이전의 버전들과 똑같이 서버의 모든 것을 컨트롤 할 수 있지만 접근이 더욱 어렵도록 업데이트 됨
<시사점>
Dell은 다른 제조사들에 비해 서버 보안에 많은 투자를 하는 편임.
BMC 임베디드 컴퓨터는 대부분의 서버에 사용이 되고 다른 제조사들의 서버들도 비슷한 취약점을 가질 것으로 예상이 되며,
상대적으로 작은 제조회사들은 이에 대한 대응이 원활하지 않을 것으로 보임.
루트 권한이 없는 유저가 피해를 확인하거나 예방하는 것이 불가능하기 때문에 BMC 취약점은 서버 산업 전체를 위협할 수 있음.
출처: https://www.servethehome.com/idracula-vulnerability-impacts-millions-of-legacy-dell-emc-servers/"
'Vulnerability' 카테고리의 다른 글
| [2018.10.25] Windows 제로데이 무작위 파일 삭제 취약점 (0) | 2019.03.06 |
|---|---|
| [2018.10.23] libssh 취약점 해당제품 및 모델 (0) | 2019.03.06 |
| [2018.10.22] jQuery 파일 업로드 플러그인 취약점(CVE-2018-9206) (0) | 2019.03.05 |
| [2018.10.17] iPhone 암호 우회 취약점 (0) | 2019.03.05 |
| [2018.09.06] 윈도우 제로데이 TaskManage Schedular vulnerability (0) | 2019.03.05 |